果核數位力推 DevOps 開發流程安全思維

2023/11/28

從DevOps 到 DevSecOps,從 SDLC 到SSDLC(Secure Software Development Life Cycle),如何在軟體開發的同時導入資安設計,加強開發團隊和資安團隊的協同合作,將是確保軟體品質和安全性,進而降低資安風險的關鍵。


果核數位軟體開發安全部副理蔡龍佑表示:「資訊安全不只是技術課題,更是思維方式。建議主動尋找可能的風險及需求,若資源允許則適當引進適切的工具來降低團隊的工作負擔與知識附載。」


挖掘隱而未現的資安需求

尋找及識別需求並非易事,使用者通常難以清晰說明需求。然而在資安日益重要的今日,安全需求的釐清則變具挑戰。以最常見的登入功能為例,就有許多隱而未現的繁複需求,如密碼複雜度要求、雙因子認證(2FA)、單一登入(SSO)或無密碼登入等,部分行業如金融業則嚴格禁止密碼設定為連續數等。而這些隱而未見的需求,若未能在早期識別,往往造成開發上的壓力與阻力。


蔡龍佑副理建議,為了讓資安成為提供優質軟體的助力,軟體專案可以時刻考量利益相關者(Stakeholder)來盡早識別安全需求。首先是合規,沒有任何企業可以免於法規要求,例如:員工資料就是個資法保護的範疇,而在高度監理的行業如金融業,則有更為嚴謹複雜的合規要求。


其次是產業標準,像是台積電扮演關鍵角色催生了台灣第一個半導體晶圓設備資安標準 SEMI E187(Specification for Cybersecurity of Fab Equipment),其他產業或多或少也有類似的標準或潛規則。


最後客戶,為了追出沒有說出口的需求,實務經驗和溝通過程都很重要。最後則是組織,不論是提供服務或者是購買服務的企業都陸續導入ISO 管理制度,而這些管理制度通常會要求軟體進行安全測試,如:原始碼測試、弱點掃描、滲透測試等。


打造高兼容的 DevSecOps 工具生態鏈

iThome 2023 CIO 大調查發現,以衡量企業DevOps 能力的 DORA(DevOps Research and Assessment)指標來看,台灣大型企業的持續部署(CD)能力有國際水準,但持續整合(CI)能力明顯不足,台灣只有 1.1% 的企業在四項DORA 指標裡同時達到菁英水準。


OpenText 台灣分公司應用程式交付管理資深技術顧問李建宏指出,台灣企業在 CI 的自動化程度不足,通常只串接一至兩項工作;此外,從訪談客戶的經驗也發現,導入 DevSecOps 時,從CIO 及相關管理階層、開發單位、維運單位到資安單位,期望各不相同。


CIO 及相關管理階層期望導入符合企業管理的敏捷框架、高可視度平台、提升團隊協作效率等。開發單位的期望是使用偏好的 CI 工具鏈或開源工具,但面臨將資安工具整合於開發的難題。至於維運單位,則期望合規且運行穩定的變更管理不要被改變,上雲的彈性不受限於特定廠商。資安單位除了要求符合所有資安規定,更期望儘量在開發期間發現資安問題,CI 平台可以整合多種資安工具,統一紀錄資安風險及改善狀況。


對此,OpenText ALM Octane 以 DevOps 全生命週期管理工具,達到實踐敏捷資訊治理框架、集中測試工作、與 CI/CD 自動化整合、協作並提升工作可視度、建立跨價值流可追溯性,以及持續改進等目標。舉例來說,針對各個開發單位偏好使用不同工具的現況,OpenText ALM Octane 可以同時連接不同的版控及 CI 伺服器,以及整合各種第三方工具如 CI Pipeline 及 SCM 工具,在 OpenText ALM Octane 裡就能檢視 Pipeline 的功能測試與資安掃描測試結果。


此外,Team Backlog 功能以團隊的視角即時了解工作進度,需求待辦清單亦可與整合開發環境(IDE)串接。再加上 OpenText ALM Octane 內建的六大類型合計超過 50 種測量 KPI,相關團隊可透過內建範本快速產出管理報表,建立客製化儀表板如資安弱點分析。


開發與資安的協同合作

果核數位軟體開發安全部資安顧問林秉正以本身跨足開發和資安領域的經驗,舉出遭駭客入侵的兩個案例做說明,第一個案例是駭客透過網站伺服器預設開啟的瀏覽目錄結構功能、管理頁面使用預設帳密、連線字串未加密等破口入侵,導致資料庫連線資料外洩,造成客戶服務中斷且影響客戶信任度。


另一個案例則是因應遠距工作需求,該企業以內外網架構規劃系統。然而,由於缺乏足夠的資訊安全意識,導致只對外網進行源碼掃描,而內網被視為信任範疇而未進行源碼掃描。這種不適當的規劃最終使內網系統被植入後門程式。

對此,該企業不僅需要花費鉅資尋求鑑識團隊的協助,並暫停內網的運作,直到修復所有弱點。這不僅增加了企業的負擔,也對系統的使用性造成了影響。


林秉正顧問指出,除了上述損失,兩個案例共同的問題就是額外的資安事件處理,進而影響原有專案或現行工作的時程進度,但這兩個案例都可以藉由避免盲信內網安全的思維,以及採取原碼掃描等行動措施,達到實質的預防成效。

為了更有效地推進 SSDLC 並提高原碼弱點修復的效率,有以下建議。首先,採取「安全左移」策略,將原碼檢測提前到開發階段,並配合自動化進行,以避免在專案開發完成後才開始檢測和處理弱點。其次,在內部建立知識庫和排除清單,以減輕修補同類型弱點的負擔。最後,重新定義「可信任」的概念,最佳作法是一律驗證。


資安並非單一人員或個別團隊的責任,從開發團隊到資安團隊的參與,以及培養開發團隊中的開發專家,善用自動化工具儘可能進行安全檢測,將是邁向 SSDLC 不可或缺的助力。


文章連結: https://www.ithome.com.tw/pr/159770

其他動態